声明
本公众号文章来自我的学习笔记,可以转载,须标明原出处。请不要利用文章内的相关知识点进行非法渗透,仅做学习使用,产生的一切后果与文章作者和本公众号无关。
越权漏洞
功能点:支付时优惠卷处
注册新用户时 系统派发一些优惠卷 而且优惠卷id是数字 而且还是递增的形式派发的 例如A用户的满100-50的couponID是123 而B用户领取的couponID则是124
在购买商品时使用优惠卷 其数据包类似如下(简化版)
userID=100&comID=2&price=110&couponID=124
那么替换couponID为别的用户的就行
功能点:自己的收藏 发帖 资料啥的 各种信息的增删改查 反正有数据能增删改查的
这种主要看鉴不鉴权 以及参数点是否加密和是否有相似性 数据包不举例了 没啥好说的
功能点:评论区啥的 反正你能发言 其他用户也能发言的地方
越权回复
A:这是帖子
B:B用户回复了帖子
C:C用户回复了帖子
这里举例攻击者是D用户
D回复C 所产生的数据包是这样的
userId=D&content=D的回复&reply=C&card=A // 这里的card=A是A这个帖子的id 实际上可能还有C用户的评论也有个id 不知道用什么英文演示 就不写上来了
为了达到越权回复只需要修改reply的参数即可 修改为其他用户的id 并且被回复的用户都是能收到留言或评论啥的 但是他们根本没来过这个帖子
关于这个越权参数值不是数字怎么办?
给用户点赞/回复/关注 抓包获取
免邮购
在购物时 买东西不满一定的金额需要支付邮费
先购买一个满足包邮的商品 查看其快递id的值 这里不知道怎么形容这个 就是假如包邮id为1 不包邮为0
当然实际上可能有隐藏参数
这个洞是靠运气挖到的...
这里推荐一篇月神关于逻辑漏洞挖掘的文章
https://mp.weixin.qq.com/s/-r1oWQb_oS8jEMdJs9Ct_g
XSS
存储型XSS
功能点:评论区 个人信息 个人文档等反正能自己写入信息的地方
个人常用 <u>111</u> 标签去探测能不能使用HTML标签 之后便是使用网上的xss payload去使用 关于waf这方面 我也不会饶...
xss payload
https://portswigger.net/web-security/cross-site-scripting/cheat-sheet
https://www.freebuf.com/articles/web/340080.html
PDF类的XSS
不一定要PDF
html svg的也行
不一定都上传到oss上
组合拳:逻辑漏洞+存储XSS
某次挖掘中 发现修改某资料的参数点是数字 于是便尝试越权 成功越权
有一个富文本编辑框 不知道是不是叫这个
上传一个图片 保存时修改越权的参数点和img标签 修改为 <img src=x onerror='console.log(1)'> 成功执行
反射XSS
反射XSS我靠看bp的历史数据包挖了好几个 常见的反射xss点的接收参数如下 callback cb 啥的
需要三个条件:
1.历史数据包中返回包的Content-Type 得为text/html;charset=utf-8才可能解析HTML标签
2.解析HTML标签
3.能执行xss
注:饶waf我也不会
这里推荐一个插件HAE插件 自己加点关键字进去 正则可以让GPT写
DOM XSS 这个只在bp靶场上打过 不怎么懂JS不会
BP靶场 https://portswigger.net/web-security 免费的
CSRF
功能点:个人信息的修改啥的
使用bp的csrf poc生成就行了
点击这个Test in browser 是可以生成在线链接的
某些增加了token的 其实可以试试删掉token再csrf
自己一个号也可以测试 csrfpoc中的信息修改为不一样的 访问poc链接看自己数据有无变化即可
但提交时建议两个号演示哦
逻辑缺陷+CSRF导出个人信息
某站后台可以导出个人信息到自定义邮箱 前提是需要短信验证码验证
改200成功绕过短信导出个人信息
此时只需要将导出个人信息的数据包制作成csrfpoc即可
不知道叫啥的CSRF
某站邮箱换绑
第一次CSRF 输入邮箱信息可CSRF
第二次CSRF 发送邮件到目标邮箱
期间需要间隔5秒 太快了不能发送邮件
于是生成第一个CSRF的poc 其中在js中settimeout睡眠了5秒 也在js中加入了访问自己的vps的代码 具体是啥不知道了 可以百度搜搜 因为厂家这个洞没收 也没保留报告 而自己的vps地址重定向到第二次CSRF的地址 第二次CSRF是get的话直接重定向就行 post的话要使用bp的CSRFpoc的链接
URL重定向
挖掘方式:仔细看bp历史数据包中的302跳转
https://www.bugbountyhunter.com/hackevents/report?id=833
%2f%09%2fattacker.com
attacker.com是跳转的地址
并发
功能点:领取东西 签到 抽奖 提现 换钱 退钱 发短信 0元领取 取消关注等
bp的并发
def queueRequests(target, wordlists):
engine = RequestEngine(endpoint=target.endpoint,
concurrentConnections=20,
requestsPerConnection=50,
pipeline=False
)
for i in range(20):
engine.queue(target.req, target.baseInput, gate='race1')
engine.openGate('race1')
engine.complete(timeout=60)
def handleResponse(req, interesting):
table.add(req)
这里关于并发的案例不多举例了 关于短信轰炸绕过的网上也有文章
当并发不成功 我们可以开启bp卡住包手动点击哦 点多点 然后关闭抓包 那个带sing的也可以手动点击试试哦
BP插件推荐
HAE 找敏感信息 各种信息(自己配置)
AutoRepeater 挖SSRF
谋事在人成事在天
多看功能点 多看数据包 一定要多动手 空虚比挫败更难忍受 曾经的我很空虚...
原文始发于微信公众号(探幽安全):实战SRC之实战逻辑漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论